Palo Alto Networks ha revelado que los actores de amenazas pueden haber intentado explotar sin éxito una falla de seguridad crítica recientemente revelada ya el 9 de abril de 2026.
La vulnerabilidad en cuestión es CVE-2026-0300 (Puntuación CVSS: 9.3/8.7), una vulnerabilidad de desbordamiento de búfer en el servicio Portal de autenticación de ID de usuario del software PAN-OS de Palo Alto Networks que podría permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root mediante el envío de paquetes especialmente diseñados.
Si bien se espera que las correcciones se publiquen a partir del 13 de mayo de 2026, se recomienda a los clientes que aseguren el acceso al Portal de autenticación de ID de usuario de PAN-OS restringiendo el acceso a zonas confiables o deshabilitándolo por completo si no se usa.
En un aviso emitido el miércoles, la empresa de seguridad de red dijo que tiene conocimiento de la explotación limitada de la falla. Está rastreando la actividad bajo el CL-STA-1132un grupo de amenazas presuntamente patrocinado por el estado de procedencia desconocida.
«El atacante detrás de esta actividad aprovechó CVE-2026-0300 para lograr la ejecución remota de código (RCE) no autenticado en el software PAN-OS. Tras la explotación exitosa, el atacante pudo inyectar código shell en un proceso de trabajo nginx», dijo la Unidad 42 de Palo Alto Networks.
La compañía de ciberseguridad dijo que observó intentos fallidos de explotación contra un dispositivo PAN-OS a partir del 9 de abril de 2026, una semana después de los cuales los atacantes lograron obtener con éxito la ejecución remota de código contra el dispositivo e inyectar shellcode.
Tan pronto como se logró el acceso inicial, los actores de amenazas tomaron medidas para borrar los mensajes de fallas del kernel, eliminar las entradas de fallas de nginx y los registros de fallas de nginx, y eliminar los archivos de volcado del núcleo de fallas en un intento de cubrir las pistas.
Las actividades posteriores a la explotación realizadas por el adversario incluyeron la realización de una enumeración de Active Directory (AD) y el lanzamiento de cargas útiles adicionales como EarthWorm y ReverseSocks5 contra un segundo dispositivo el 29 de abril de 2026. Ambas herramientas han sido utilizadas anteriormente por varios grupos de piratería del nexo con China.
«Durante los últimos cinco años, los actores de amenazas de los estados-nación involucrados en el ciberespionaje han centrado cada vez más sus esfuerzos en los activos tecnológicos de la red de borde, incluidos firewalls, enrutadores, dispositivos de IoT, hipervisores y varias soluciones VPN, que brindan acceso con altos privilegios, aunque a menudo carecen de los robustos agentes de registro y seguridad que se encuentran en los puntos finales estándar», dijo la Unidad 42.
«La dependencia de los atacantes detrás de CL-STA-1132 en herramientas de código abierto, en lugar de malware patentado, minimizó la detección basada en firmas y facilitó la integración perfecta del entorno. Esta elección técnica, combinada con una cadencia operativa disciplinada de sesiones interactivas intermitentes durante un período de varias semanas, se mantuvo intencionalmente por debajo de los umbrales de comportamiento de la mayoría de los sistemas de alerta automatizados».